… sugiro rever os seus conceitos! Apesar da autenticação MFA (Multi-Factor Authentication) exigir a combinação de dois ou mais métodos de autenticação (senha, biometria, PIN, etc) e dificultar ainda mais a ação dos atacantes para obter acesso privilegiado aos sistemas, ela não está imune de falhas e defeitos. Ainda mais, se tratando de aplicações e serviços que nunca tiveram uma boa reputação em termos de segurança, como é o caso da Microsoft…
“Oasis Security’s research team uncovered a critical vulnerability in Microsoft’s Multi-Factor Authentication (MFA) implementation, allowing attackers to bypass it and gain unauthorized access to the user’s account, including Outlook emails, OneDrive files, Teams chats, Azure Cloud, and more. Microsoft has more than 400 million paid Office 365 seats, making the consequences of this vulnerability far-reaching.”
— by OASIS Security.
A equipe de pesquisas da OASIS Security, descobriu uma vulnerabilidade crítica na implementação da autenticação MFA da Microsoft, afetando bastante os usuários que possuem uma conta que ofereça acesso aos serviços da empresa, como o Outlook (e-mails), o OneDrive (arquivos), Teams (mensagens de chat) e outros hospedados pela plataforma Azure. Tal vulnerabilidade permite que os atacantes contornar o sistema de autenticação sem maiores dificuldades, que para variar sequer realiza avisos ou notificações de que a conta foi acessada de forma indevida.
O ataque se baseia na possibilidade de realizar um grande número de tentativas de forma simultânea em um curto espaço de tempo, para validar o código numérico solicitado pelo sistema de autenticação MFA. Por se tratar de códigos limitados a 6 dígitos (quase 1 milhão de combinações) e que usam exclusivamente números, um ataque de força bruta poderá ser feito de forma relativamente rápida e por isto, a RFC-6238 recomenda que estes sistemas limitem o tempo de autenticação para apenas 30 segundos. Porém, a mesma diretriz permite a extensão do tempo máximo, para casos em que hajam atrasos no processo de validação.
O problema é que o sistema adotado pela Microsoft permite que o usuário possa levar até 3 minutos para digitar o código em questão, o que irá oferecer mais tempo para que o ataque tenha maiores chances de obter o código válido. A equipe da Oasis Security Research realizou alguns testes baseados neste método e com apenas 70 minutos, teve +50% de chances de obter um código válido. Por fim, a OASIS entrou em contato com a Microsoft para informar sobre a vulnerabilidade em questão, além de trabalharem juntas na solução do problema, que por sua vez já foi corrigida antes mesmo da publicação do anúncio oficial.
Por um lado, este foi um vacilo enorme da Microsoft, por permitir uma janela de tempo enorme para que o usuário possa realizar a autenticação. Por outro lado, muitos usuários (especialmente os mais velhos) não possuem a mínima desenvoltura para utilizar seus equipamentos e assim, concluírem as etapas necessárias em um curto espaço de tempo. Por isto, acredito que mais vale à pena ter um sistema de autenticação “falho” do que não ter nenhum, pois geralmente esta classe de usuários optam por desativá-los para utilizar os métodos tradicionais baseados em senhas.
E nem é preciso dizer como eles mantém as suas senhas guardadas… &;-D